专利名称:一种基于可视分析的网站异常访问行为的检测方法
技术领域:
本发明属于网络安全可视分析领域,涉及一种用可视化技术重现用户在网站上的行为并结合人为分析有效发现访问网站异常行为的方法。
背景技术:
随着近年来互联网的飞速发展,针对网站的攻击呈现出频繁化和多样化的发展趋势。现在流行的攻击方式包括DoS/DDoS攻击、SQL注入攻击等,有可能有恶意企图的行为包括恶意试探行为和趴站行为等。由黑客攻击网站带来的经济损失不计其数,给互联网秩序和个人隐私带来极大危害。因此,从海量的用户访问中找到异常的访问模式从而发现恶意行为对于网站安全维护极为重要。可视分析是一项近几年发展起来的新技术,是信息可视化与科学可视化领域发展的产物,侧重于借助于交互式用户界面而进行的分析推理。信息可视化技术是在现代信息处理平台的基础上,根据用户对信息的需要,利用适当的可视化符号表示各种信息和信息内外部的关系,使人们更方便、迅速地与信息源进行交互,发现隐藏在信息中的各类知识。计算机对于信息的可视化展示和人的观察和分析结合,形成了高效地可视分析方法来解决各种难题。如今,人们对于针对网站攻击的检测做出了多方面的努力。一部分研究者把重心放在了通过基于网络层数据包分析的入侵检测系统来发现网站攻击行为,另一部分则重点研究了服务器日志,通过分析记录用户行为的服务器日志来实现这个目标。和基于服务器日志分析的方法相比,基于入侵检测系统的方法更为间接和不准确。目前通过分析日志的方法发现攻击的技术主要使用 的是数据挖掘技术,然而目前的科技水平,计算机并不可以完全替代人脑,需要在智能度和人工度之间做出一个平衡的选择,这样才能达到最为理想的效果,从这点上来看,可视分析的方法由于其出色得信息展示能力和人类理解力的高效利用具有独特的优势。互联网的飞速发展使得服务器日志达到GB甚至是TB的数量级,如何处理如此大量的数据成为难题。现有的可视分析技术由于可视化方法设计的问题,尚未有一种能克服大量数据的难题并且可以用来分析大型网站攻击行为的方法出现。
发明内容
有鉴于此,本发明的目的是克服现有技术的上述不足,提供一种实时可视化检测方法,该种检测方法,利用GPU加速可视化处理,能够减轻CPU的负担,能高效的分析并显示网络数据,从而使用户能够发现DDoS攻击前期所存在的主机扫描,端口扫描和正在进行的DDoS攻击。本发明采用如下的技术方案:一种基于可视分析的网站异常访问行为的检测方法,包括下列步骤:(I)对网站服务器日志数据进行预处理,将访问数据和网站结构数据结合起来,将统计原始日志获得的节点及其子节点累加的出现与访问次数作为权值定义面积不同的可视化网站树图结构。
( 2 )利用可视化方法展现经过预处理后的网站服务器日志数据的位置、时间、内容信息,方法为:a.根据可视化网站树图结构建立位置视图,展示用户访问的位置信息,将用户的动作(包括到来、离开、刷新,产生错误事件)用一些规定的符号在这个视图的运动形象的表示出来,表达用户行为发生在网站结构中的位置以及对应的页面;b.通过256进制把用户的IPv4地址映射到2D空间中,得到利用散点图展示的用户视图,对于用户的动作,包括到来、离开、刷新,产生错误事件均在于与位置视图中一致的符号;c.建立时间轴视图,在此视图中能够加载相应时间点的各个状态码的数量,选择关注的时间段;d.将上述的三个视图布置在同一个视窗下,可视化地展现用户行为的位置、时间、
内容信息;(3)定义用户访问事件的动画方式,通过所述的三种视图以及在三个不同视图上采用的事件的动画方式来展示每一个访问地址在不同的时刻执行了不同的用户行为,其中用户访问时间的动画方式定义如下表:
权利要求
1.一种基于可视分析的网站异常访问行为的检测方法,包括下列步骤: (1)对网站服务器日志数据进行预处理,将访问数据和网站结构数据结合起来,将统计原始日志获得的节点及其子节点累加的出现与访问次数作为权值定义面积不同的可视化网站树图结构。
(2)利用可视化方法展现经过预处理后的网站服务器日志数据的位置、时间、内容信息,方法为: a.根据可视化网站树图结构建立位置视图,展示用户访问的位置信息,将用户的动作(包括到来、离开、刷新,产生错误事件)用一些规定的符号在这个视图的运动形象的表示出来,表达用户行为发生在网站结构中的位置以及对应的页面; b.通过256进制把用户的IPv4地址映射到2D空间中,得到利用散点图展示的用户视图,对于用户的动作,包括到来、离开、刷新,产生错误事件均在于与位置视图中一致的符号; c.建立时间轴视图,在此视图中能够加载相应时间点的各个状态码的数量,选择关注的时间段; d.将上述的三个视图布置在同一个视窗下,可视化地展现用户行为的位置、时间、内容信息; (3)定义用户访问事件的动画方式,通过所述的三种视图以及在三个不同视图上采用的事件的动画方式来展示每一个访问地址在不同的时刻执行了不同的用户行为,其中用户访问时间的动画方式定义如下表:
2.根据权利要求1所述的基于可视分析的网站异常访问行为的检测方法,其特征在于,步骤(6)包括: (1)DoS/DDoS攻击的发现:若在上述的可视化结果中观察到短时间内产生大量的刷新环,则判断可能发生DoS/DDoS攻击中的HTTP flood攻击; (2)SQL注入攻击的发现:若在上述的可视化结果中观察到短时间内产生大量的刷新环并且用户提交参数异常,则判断可能发生SQL注入攻击; (3)恶意试探行为的发现:若在上述的可视化结果中观察到短时间内产生大量的以实体为中心的相应颜色边框黑色填充的矩形框的出现,则判断可能发生恶意试探行为; (5)趴站行为的发现:若在上述的可视化结果中观察到短时间内产生大量的访问路径,则判断可能发生趴站行为。
3.根据权利要求1所述的基于可视分析的网站异常访问行为的检测方法,其特征在于,步骤(5)的用户的访问属性数据包括: Ring Count:自环个数,即对同一个页面在较短时间内访问的次数之和; Attribute Length:用户提交的参数长度; Page Count:所有访问的不同页面的个数; Max Level:用户访问的最大层级数; Status Code2:所有以2开头的http信号出现的次数; Status Code3:所有以3开头的http信号出现的次数; Status Code4:所有以4开头的http信号出现的次数; Status Code5:所有以5开头的http信号出现的次数; Session Max:在一 个period内访问的所有次数的和的最大值。
全文摘要
本发明属于网络安全可视分析领域,涉及一种基于可视分析的网站异常访问行为的检测方法,包括把对网站服务器日志数据进行预处理;用可视化方法展现数据的位置、时间、内容信息;用动画效果展现访问事件;对访问用户进行聚类分析;数据属性的采集和计算;结合可视化结果、聚类结果的观察和人为分析进行异常行为模式的发现。本发明的优势在于比传统的纯机器计算方法更清晰直观更助于使用者理解,并且充分利用了人的智能,在智能度和人工度之间找到一个比较好的平衡,有助于提高解决问题的效率。
文档编号H04L29/08GK103138986SQ201310010198
公开日2013年6月5日 申请日期2013年1月9日 优先权日2013年1月9日
发明者张加万, 康凯, 吕文瀚, 赵煜, 陈章磊, 李彦霖 申请人:天津大学